Na Hakerskiej konferencji DEFCON przeprowadzonej w Las Vegas pokazano narzędzie umożliwiające automatyczne przechwycenie identyfikatorów niezaszyfrowanych sesji Gmaila i po tej operacji możliwe jest wejście na aktualnie używane konto Gmail. Tak przynajmniej twierdzi Mike Perry, inżynier oprogramowania z San Francisco, twórca niewielkiej aplikacji, którą ma zamiar udostępnić w Internecie w przeciągu dwóch tygodni.Aby chronić się przed nowym typem ataku użytkownicy powinni włączyć szyfrowanie SSL we wszystkich czynnościach wykonywanych w Gmailu. Ta funkcja jest dostępna od kilku dni. Wcześniej internauci mogli korzystać z protokołu wyłącznie na etapie logowania. Potem sieciowa aplikacja przechodziła z powrotem w otwarty tryb.
Jeśli hakerowi uda się przejąć identyfikator sesji, może zalogować się do konta bez konieczności posiadania hasła – tak długo, jak długo oryginalne ciasteczko znajduje się na twardym dysku komputera użytkownika. Według ekspertów, kradzieżą danych najbardziej zagrożeni są ludzie korzystający z publicznie dostępnych hotspotów.
Perry poinformował Google o problemie już rok temu. Podczas konferencji narzekał na brak reakcji ze strony firmy: „Logowanie przez SSL daje ludziom fałszywe poczucie bezpieczeństwa. Widzą adres typu https: i myślą, że są bezpieczni. Nie wiedzą, że już kilka sekund później przeglądarka pracuje na otwartym tekście”.
Źródło: hungry-hackers.com , Źródło: Webhosting.pl
Joomla1.5.6 (299)
Avast! Home Edition 4.8 PL (220)
Firefox 3.0.1 (200)
